Le blog de commonIT

Si le navigateur web est de plus en plus utilisé en entreprise c’est qu’il présente des avantages. D’abord il est gratuit (argument à manier avec prudence car si on s’intéresse aux coûts cachés, le navigateur est nettement moins gratuit) et surtout tout le monde sait s’en servir. Reste que, lorsqu’une entreprise utilise le navigateur comme logiciel professionnel elle se heurte à des contraintes de sécurité et de compatibilité qu’on ne retrouve pas dans une utilisation grand public. C’est pour cela que Virtual Browser a du sens. Selon les applications, la solution permet de publier la bon navigateur avec un niveau de sécurité sans précédent.

Cependant, l’usage d’une solution comme Virtual Browser pourrait se confronter à des réticences de la part des utilisateurs s’ils ont l’impression que la solution les oblige à de gros changements de leur expérience de navigation. C’est pour cette raison qu’à partir de la version 2.0, l’utilisation de Virtual Browser peut être rendue transparente. Il est désormais possible de voir VB comme une extension du navigateur local. Prenons 2 exemples.

Premier exemple : Imaginez que vous soyez sur un poste Windows 7 en train de naviguer sur l’intranet de votre entreprise avec le navigateur local, Internet Explorer 8 (IE8). Soudain, vous cliquez sur une application qui n’est pas compatible avec IE8 et qui nécessite IE6. Sans Virtual Browser, vous ne pourriez tout simplement pas accéder à l’application. Avec la version 2.0 de VB, au moment où vous cliquez, une nouvelle fenêtre s’ouvre automatiquement et vous permet d’accéder à l’application IE6 avec une compatibilité totale. La fenêtre en question étant en réalité Virtual Browser dans lequel on exécute le navigateur IE6 que l’on fait pointer sur l’application en question.

Second exemple : Imaginez maintenant que vous surfez sur Internet au travers d’un proxy web. Conformément à la politique de sécurité de votre entreprise ce dernier bloque une URL pouvant contenir des codes malicieux. Mais, avec Virtual Browser, imaginez que la page d’alerte que vous renvoie le proxy contient le message suivant : “Le site que vous tentez de consulter est interdit par notre politique de sécurité. Si vous souhaitez y accéder malgré tout cliquez ici.”. Et si vous cliquez sur le lien, une nouvelle fenêtre s’ouvre, vous permettant d’accéder au site en question… Cela se passe dans Virtual Browser, la session qui accède au site à risque est totalement isolée si bien que si elle est attaquée votre poste et le réseau de l’entreprise ne risquent rien.

Un peu plus d’un an après la version 1.0, et après 4 versions intermédiaires, la version 2.0 de Virtual Browser est désormais disponible.

Une des évolutions importantes de cette version concerne le mode d’accès au produit afin d’en simplifier l’usage pour les utilisateurs. Ceux-ci pourront désormais lancer des sessions Virtual Browser depuis leur navigateur local sans s’en rendre compte. En effet, les liens vers les applications web nécessitant Virtual Browser (pour des besoins de sécurité ou de compatibilité), pouront être spécifiquement formatés pour que le navigateur local ouvre automatiquement Virtual Browser.

Bien sûr, il ne s’agit pas de la seule évolution de cette version majeure. La version 2.0 dispose également du support de trois nouveaux moteurs de rendu, d’un mode de téléchargement direct, d’un nouveau design de l’agent de connexion et de l’interface d’administration, du support de l’application iPhone VB iAgent, ainsi que de nombreuses autres évolutions et corrections.

Nous avons encore beaucoup de nouvelles fonctionnalités en tête qui seront intégrées dans les versions évolutive à venir et devraient aboutir à une version 3.0 pour l’été 2011.

Il y a 10 jours nous étions sur Infosecurity à Londres. Et, vu la taille et la qualité du show cette année, nous confirmons qu’Infosec Londres et bel et bien “LE” grand salon européen de la sécurité informatique. Ces 3 jours ont été pour nous l’occasion de nous rapprocher un peu plus des clients hors de France.

Par ailleurs, Virtual Browser aura (une nouvelle fois) conquis par son innovation, sa simplicité et son efficacité. Que se soit au travers de notre présentation technique qui a rempli l’amphithéâtre de 80 places ou des discussions que nous avons eues avec les nombreux analystes, journalistes et utilisateurs potentiels, la pertinence de notre technologie a été saluée. Pour preuve, le très bon “papier” du blog de Bob Walder chez Gartner.

Aujourd’hui nous avons décidé de vous faire découvrir le métier d’ingénieur développeur chez commonIT à travers l’interview d’un des membres de l’équipe R&D : Corentin Chary. Il a intégré commonIT il y a un peu moins d’un an et depuis, son travail a pris une place majeure dans l’évolution de la solution Virtual Browser.

1) Quelles sont les méthodes de développement que vous utilisez ? Quels sont vos outils ?

J’utilise principalement des outils issus du monde du logiciel libre, il serait impossible de les citer tous tellement ils sont nombreux.

On y trouve le noyau Linux, la distribution Gentoo, le gestionnaire de source git et l’éditeur de texte Emacs. Ce sont des outils que certains pourraient trouver préhistoriques, mais ce n’est vraiment pas le cas. Ils évoluent à une vitesse impressionnante, et une fois pris en main, ils permettent de travailler très efficacement !

Pour Virtual Browser, nous utilisons aussi beaucoup la distribution Ubuntu, donc Debian, le langage python ainsi que le framework django.

Pour la gestion de bugs, nous utilisons redmine, chacun ajoute des tâches (bugs et fonctionnalités), en rapport à des retours clients par exemple, puis Mathieu Lafon (directeur R&D) affecte ces tâches aux membres de l’équipe.

2) Quels sont les principaux projets sur lesquels vous travaillez actuellement ?

En ce moment, nous travaillons d’arrache pied sur la version 2.0 qui sortira en fin de mois. Je viens par exemple de passer un certain temps sur l’agent iPhone qui est la première version de Virtual Browser pour Smartphone. Cela n’a pas été une mince affaire, en effet l’iPhone a des contraintes vraiment particulières. Mais au final, cet agent (baptisé VB iAgent) fonctionne bien, et permet par exemple d’utiliser Internet Explorer sur iPhone !

A part ça, je travaille principalement sur le serveur Virtual Browser. J’ai développé une grande partie du mode “cluster”, disponible depuis la version 1.3, qui permet d’installer Virtual Browser sur plusieurs machines. On peut ainsi avoir de la haute disponibilité, de la répartition de charge et du cloisonnement physique entre les navigateurs.

Nous avançons aussi sur plusieurs projets pour l’avenir de Virtual Browser, et qui arriveront à la suite de la version 2.0.

3) Pourquoi avoir choisi commonIT ? Quelles ont été vos motivations pour travailler dans cette start-up ?

J’ai choisit commonIT pour plusieurs raisons. Tout d’abord, parce que j’ai tout de suite été séduit par le produit Virual Browser, qui à mon sens répond à une véritable problématique. Le navigateur a vraiment une place importante aujourd’hui, mais cela apporte son lot de problèmes notamment du point de vu de la sécurité. Aucun navigateur n’est épargné, même si certains sont plus touchés que d’autres. De plus, avant l’émergence des navigateurs alternatifs (Firefox, Chrome, Safari, Opera) de nombreuses applications web ont été créées pour fonctionner uniquement sous IE6 (et sans respecter les standards W3C, ce qui aurait évité bien des problèmes). Virtual Browser permet de régler ces problèmes de compatibilité, en permettant d’utiliser facilement différents moteurs de rendu et différents plugins.

De plus, être dans une structure telle que commonIT, avec une petite équipe me donne l’occasion de travailler sur des sujets très variés et surtout d’avoir un réel impact sur l’évolution du produit et de la société. C’est le type de challenge que je recherchais.

Corentin Chary, Ingénieur Développeur chez commonIT

Le navigateur est au cœur de la stratégie Cloud des entreprises. Le développement des technologies web dans les environnements professionnels a fait de ce logiciel inventé pour le grand public, le client universel d’accès aux applications cloud des entreprises.

Il est vrai que le navigateur web est gratuit et que tout le monde sait s’en servir, ce qui fait 2 excellents arguments pour l’utiliser, surtout quand les budgets informatiques sont en baisse. Mais utiliser un navigateur en entreprise n’est pas anodin du point de vue de la sécurité :

Une technologie grand public. Les navigateurs répondent à un objectif principal : pouvoir être utiliser simplement par le plus grand nombre. Ce qui implique qu’il doit y avoir le moins de contraintes possibles dans l’expérience utilisateur. C’est pour cette raison que les technologies 2.0 qui permettent une meilleure interactivité vont jusqu’à exécuter du code provenant d’internet dans le navigateur lui-même (Ajax, Flash, Java, ActiveX par exemple)… Mais est-ce le comportement attendu d’un logiciel qui sert aussi à se connecter sur les applications les plus sensibles d’une entreprise (Banque, CRM, Comptabilité) ?

Une architecture non sécurisée. Les professionnels de la sécurité sont de plus en plus conscients que le navigateur est un logiciel non sécurisé. Le problème est triple : (i) d’abord il existe des failles dans les navigateurs comme dans tout logiciel complexe, (ii) ensuite le navigateur est plus exposé que les autres logiciels à la menace parce que c’est lui qui accède à Internet, (iii) enfin le comportement du navigateur est également dangereux à cause de ses nombreux plugins (voir plus haut).

La confidentialité des données en question. Utiliser un navigateur à la maison ou dans un cybercafé pour se connecter à des applications Cloud peut se révéler dangereux pour les données d’une entreprise. En effet, l’utilisation du web permettra à un utilisateur mobile de se connecter à ses services cloud depuis n’importe quel poste équipé d’un browser. Le problème c’est que l’entreprise n’a pas forcément envie que des données sensibles se retrouvent sur « n’importe quel poste ». Or, en utilisant un navigateur, on va laisser des traces sur le poste au travers des cookies, de l’historique ou du cache de ce dernier.

Si les entreprises veulent mettre en place une stratégie Cloud, elles doivent prendre en considération la “problématique navigateur”. Elles doivent penser aux questions qui se posent coté utilisateur afin d’apporter des réponses satisfaisantes du point de vue de l’usage et de la sécurité, dans la mise en place du client d’accès au Cloud.

Pour en savoir plus, vous pouvez télécharger nos livres blancs.

L’innovation est une valeur au coeur de la stratégie et de la vie de commonIT. Afin de la favoriser, nous avons décidé d’être partenaire d’un programme de formation appelé “Projets Innovants” au département Télécommunications, Services et Usages de l’INSA de Lyon.

Issus pour partie de cette école, nous avions à coeur de nous investir dans le travail universitaire qui est fait, dans l’IT et dans l’innovation, par l’INSA. Sous la responsabilité de Stéphane Frénot (enseignant chercheur) et Hugues Benoit-Cattin (directeur du département), cette formation s’adresse aux élèves ingénieurs de 4ième année et a pour but d’apprendre aux étudiants les processus qui favorisent l’innovation technologique au travers d’une méthodologie théorique et d’une mise en pratique par la réalisation d’un projet sur une période de 6 mois. Dans le cadre de ce partenariat, commonIT distillera ses conseils pratiques et partagera son expérience de startup. Nous organiserons également la remise d’un prix aux 3 projets les plus innovants en fin de programme au mois de juin.

C’est une réflexion en cours dans de nombreuses entreprises cette année : “Devons nous passer à Windows 7 ? Si oui, quand et quels seront les problèmes potentiels liés à la migration ?”.

Et dans les éléments à prendre en compte, le navigateur n’est pas le moins important. Il est vrai que d’un coté, Microsoft explique que la version 8 de son Internet Explorer est “plus sûre, plus rapide et plus simple que jamais”… sous entendu que les versions 6 et 7. Mais d’un autre coté, bon nombre d’applications web en entreprise nécessitent encore IE6. Ce sont parfois des applications qui ont été développées en interne, ou par un prestataire externe, elle ne sont plus forcément supportées et en tout cas, le passage des postes de l’entreprise en Windows 7 (et donc en IE8) pose question.

Doit-on faire évoluer ces applications compatible IE6 pour permettre aux utilisateur de s’y connecter avec IE8 ? Est-ce possible ? Combien ça coûte ? Et quelle est la pérennité de ce choix ?

Il y aura forcément des versions de IE après la version 8. Il y aura aussi de nouveaux navigateurs et de nouveaux terminaux (pourquoi pas quelques Mac et quelques smartphones ?). Fatalement, il faudra à nouveau supporter ces navigateurs et donc intervenir sans cesse sur ces applications pour les mettre à jour. A moins que…

A moins qu’une alternative beaucoup plus intéressante économiquement et beaucoup plus pérenne soit possible. Il faudrait pouvoir laisser ces applications en l’état (donc compatibles IE6) et permettre aux utilisateurs d’utiliser indifféremment IE6 et IE8 depuis leur poste Windows 7. C’est précisément ce que permet Virtual Browser.

En effet, avec Virtual Browser, vous pouvez migrer vos postes sur Windows 7 et virtualiser IE6 (et pourquoi pas d’autres navigateurs ?) pour permettre à vos utilisateurs de continuer à accéder aux applications compatibles avec ce navigateur.

L’idée est d’isoler le bon navigateur et les bons plugins (flash, java, …) dans une bulle virtuelle du serveur Virtual Browser. Cette bulle, montée à la volée et unique pour chaque utilisateur, est dédiée à la connexion vers la (ou les) application(s) nécessitant cette configuration de browser. Pour en savoir plus, consultez le témoignage d’un utilisateur.

Et hop, encore une faille annoncée dans IE hier soir. Cette fois, elle permet l’accès à tous les fichiers présents sur le disque dur du PC, et toutes les versions d’IE sont concernées… mais la configuration par défaut dans les versions récentes de Windows (Vista, Server 2008, 7) empêche l’exploitation de cette faille. C’est donc principalement sous Windows XP que le risque existe. Cette version de Windows reste tout de même l’OS le plus répandu (à l’heure où j’écris ces lignes, plus de 66% de parts de marché d’après NetMarketshare).

La réaction de Bernard Ourghanlian (Directeur de la sécurité de Microsoft), rapportée par Clubic, est très intéressante ; il dit notamment (je cite) : “Nous aimerions bien nous débarasser d’Internet Explorer 6.0, mais on ne peut tout simplement pas. En entreprise, déployer un nouveau navigateur est un énorme travail. Tant que Windows XP sera supporté par Microsoft (jusqu’en 2014), Internet Explorer 6.0 le sera également“.

Au delà de cette nouvelle faille qui prouve l’intérêt sécuritaire de l’approche de cloisonnement que nous avons développée pour Virtual Browser, les propos de Bernard Ourghanlian illustrent également la problématique liée à la gestion du/des navigateur(s) en entreprise : le déploiement et les mises à jour de ce client représente une charge importante, et donc un coût non moins important pour les entreprises. Là aussi, Virtual Browser facilite le travail de l’administrateur grâce à son architecture centralisée et aux fonctions de mises à jour des différents composants du navigateur (moteur de rendu, plugins, …).

Bref, les mois se suivent et se ressemblent… Et tout porte à penser que les entreprises ont besoin de revoir l’architecture d’exécution, de déploiement et de mise-à-jour de leur navigateur. C’est le sens de nos efforts et la finalité de Virtual Browser.

Une nouvelle alerte de sécurité annoncée par Microsoft dans son navigateur web Internet Explorer a provoqué une communication officielle de plusieurs gouvernements encourageant à trouver des alternatives pour surfer sur Internet et sur les applications web.

Vendredi 15 janvier 2010, le BSI allemand et le CERTA français (Centre d’Expertise de Réponse et de Traitement des Attaques informatiques) ont émis des bulletins demandant d’éviter l’utilisation d’Internet Explorer, en raison d’une faille de sécurité publiée la veille par Microsoft.

La démarche est inédite car jamais des organismes gouvernementaux n’ont demandé publiquement de ne plus utiliser un logiciel défaillant. Mais cette fois-ci, la vulnérabilité annoncée affecte toutes les versions du logiciel depuis sa version 6. Sachant que le logiciel est utilisé par les deux tiers des internautes, le nombre d’ordinateurs pouvant être compromis par une attaque est colossale. Le risque est donc de voir une vague massive d’attaques s’appuyant sur la vulnérabilité pour mettre à mal un très grand nombre d’entreprises, voire des organisations gouvernementales. 

Selon le CERTA français, L’utilisation de cette vulnérabilité permet à un attaquant d’exécuter du code à distance sur la machine de l’utilisateur et donc de voler des données ou de compromettre le système. Il semble d’ailleurs que plusieurs entreprises, dont Google, auraient déjà été victimes de cette attaque.

Cette fois c’est Internet Explorer qui est mis en cause. Mais en réalité, c’est l’architecture des navigateurs eux-mêmes qu’on devrait contester et c’est ce que nous faisons avec la solution Virtual Browser. C’est la raison pour laquelle la seule façon réellement efficace de se protéger contre ces risques est d’isoler le navigateur dans des machines virtuelles cloisonnées et déportées sur des serveurs. Grâce au mécanisme de cloisonnement de Virtual Browser, les utilisateurs peuvent continuer à utiliser Internet Explorer sans craindre les conséquences dues à l’exploitation de ses vulnérabilités.